[发明专利]一种基于受控环境的移动应用敏感行为检测方法和系统

说明书

本发明提供了一种基于受控环境的移动应用敏感行为检测方法和系统，包括：遍历需要进行测试的移动应用的控件，通过程序脚本触发移动应用的行为；基于预先定制的受控环境，对移动应用的敏感行为进行捕获。该方法和系统实现了自动化的移动应用行为触发，整个过程无须人工干预；基于定制的受控环境，在内核层和框架层对移动应用敏感行为进行全面捕获。还对捕获的日志信息进行收集和处理，统一格式设计，包括内核系统调用、框架层应用程序编程接口API以及壳shell命令，为高效提取移动应用行为特征提供数据支撑，便于下一步进行恶意软件定性判别。

技术领域

本发明属于移动应用安全技术领域，具体涉及一种基于受控环境的移动应用敏感行为检测方法和系统。

背景技术

当前Android系统的安全问题与日俱增，其中各种恶意应用泛滥、恶意行为难以及时发现成为其中一个主要问题，所以移动应用的敏感行为检测成为了主要的研究方向。移动应用市场带有恶意代码的移动应用种类繁多，单单依靠Android本身自带的安全机制或一些事后防护手段是远远不够的，需要在移动应用的运行过程中，能够动态的拦截和获取移动应用的行为或者移动终端的实时状态，并将拦截到的信息进行进一步分析以达到检测恶意软件的目的。

移动应用敏感行为检测的研究可分为两个方向：基于程序插桩的移动应用敏感行为检测和基于受控环境的移动应用敏感行为检测。基于程序插桩的移动应用敏感行为检测方法通过直接或间接修改应用程序源码或反编译源码的方式对应用进行插桩，从而达到监控应用行为的目的，这种方式对行为分析环境没有很高的要求，但需要对单个应用进行特定化插桩，且无法保证应用升级后的持续化动态监控。基于受控环境的移动应用敏感行为检测方法通过修改Android系统源码、定制受控环境，提供移动应用敏感行为检测的分析环境，避免了对多个应用进行一对一的修改，适用于兼容该环境的应用。

现有基于受控环境的移动应用敏感行为检测方法还存在几点不足：(1)缺乏在受控环境下自动化的行为触发技术，目前移动应用的行为触发还需要人工干预，触发效率和深度需要提升；(2)移动应用敏感行为捕获不够全面，大部分行为检测只能够捕获对系统底层的一些应用程序接口调用，对系统框架层的一些操作失去效用；(3)对捕获的日志信息格式没有统一规定，不能高效提取行为特征，为进一步对恶意软件进行定性判别提供数据支撑。

发明内容

为克服上述现有技术的不足，本发明提出一种基于受控环境的移动应用敏感行为检测方法和系统。该方法和系统通过控件遍历的行为触发方式，能够自动化地实现全面深度触发移动应用行为，采用对Framework层和Kernel层共同Hook的方式修改Android内核及定制受控环境进行移动应用敏感行为的捕获，摆脱了对特定应用的修改，适用于兼容该环境的应用，并对捕获到的敏感行为日志格式进行统一规定，为移动应用进一步的安全评估提供数据支撑。

实现上述目的所采用的解决方案为：

一种基于受控环境的移动应用敏感行为检测方法，其改进之处在于，包括：

遍历需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为；

基于预先定制的受控环境，对所述移动应用的敏感行为进行捕获。

本发明提供的第一优选技术方案，其改进之处在于，所述遍历需要进行测试的移动应用的控件，通过程序脚本触发所述移动应用的行为，包括：

获取所述移动应用的界面信息，所述界面信息包括界面中的控件和控件的坐标；

基于所述控件、所述控件的坐标以及设定的触发操作，生成触发所述控件的程序脚本；

调用所述程序脚本，对所述移动应用的行为进行触发；

所述触发操作包括：安装、启动、触摸和卸载所述移动应用。

本发明提供的第二优选技术方案，其改进之处在于，所述获取所述移动应用的界面信息，包括：